BETA [QPKG] SAMBA-PDC mit LDAP

  • [NAS Typ:] bedingt alle
    [Firmware:] ab Version 3.6.0
    [Getestet:] ja, mit TS-239, TS-439
    [Sonstige Modifikationen:] keine
    [Autor:] Eraser-EMC2- / Stefan
    [Voraussetzung:] aktivierter SSH-, SAMBA- und LDAP-Server, SAMBA für LDAP-Domäne aktiviert
    [erforderliche Kenntnisse:] einer NT4.0 Domäne, ( LDAP bei Problemen, SSH/Putty für den Zugriff )


    Unterstützung für SAMBA-PDC mit LDAP-Anbindung auf Basis von Windows NT 4.0 (kein AD)
    Die Roaming Profiles habe ich mit folgenden Windows-Systemen getestet:
    + Windows 2000 Pro
    + Windows XP Pro
    + Windows 7 Ultimate 64Bit


    Vorsicht ... BETA BETA BETA ... Nutzung auf eigene Gefahr ...
    Download-Link unten im Beitrag


    Nach dem Installieren des QPKGs muß man sich über die Konsole (SSH bevorzugt) an das NAS anmelden.
    Danach gibt man den Befehl "smb_cmd.sh" ein.
    Damit sollte sich eine Start-Übersicht verschiedener Eigenschaften und dancach ein Zeichen-Orientiertes Menü angezeigt werden.


    Der Administrator bekommt automatisch das Passwort des LDAP-Servers zugewiesen und kann jederzeit über das QNAP-WebGUI geändert werden.


    Für Windows Vista und Windows 7 könnten Änderungen an der Registry notwendig sein.


    Fehleingaben bzw. Fehler bei der Ausführung werden noch kaum abgefangen.






    Menü-Punkte
    1) Hiermit werden alle nötigen Einstellungen am SAMBA-Server vorgenommen und LDAP-Einträge erstellt.
    Es werden 8 Gruppen und 2 Benutzer erstellt:
    +Gruppen
    Domain Admins
    Domain Users
    Domain Guests
    Domain Workstations
    Domain Controller


    + Benutzer
    Administrator


    5) freigabe für Benutzer erstellen (Nicht für die Firmware V3.7.0)
    6) Freigabe für Romaing Profile erstellen


    m) Konten der Workstation verwalten
    u) Konten der Benutzer verwalten
    p) Anzeige aller Privilegien
    s) SAMBA-Status




    1) Anzeigen der eingerichteten Benutzerkonton für die Workstations
    2) Erstellen eines Benutzerkontos für eine Workstation
    3) Löschen eines Benutzerkontos für eine Workstation




    1) Liste aller SAMBA-Privilegien
    2) Liste der Privilegien der eingerichteten Benutzer und Gruppen
    3) Liste der Privilegien eines Benutzers oder einer Gruppe


    4) Ändern der Privilegien eines Benutzers oder einer Gruppe


    5) Die Privilegien der Benutzer und Gruppen zurücksetzen




    1) Liste aller SAMBA-Verbindungen zum NAS
    2) Liste aller genutzten Freigaben
    3) Liste aller geöffneten Dateien
    4) Liste aller Freigaben mit Mountpoint, Filesystem, usw. (noch unübersichtlich)


    7) Anzeige einiger SAMBA-Infos


    c) Anzeigen aller SAMBA-Prozesse
    r) SAMBA neustarten



    Nach der Installation liegen in der Freigabe Netlogon ein paar Reg-Dateien für Windows
    + ntprofile.reg : Roaming Profile auf Windows aktivieren
    + ntdomain_win7.reg : Einstellungen für Win7 zur NT4.0-PDC-Kompatibilität
    + logon.cmd : Logon-Script für Windows
    + logon.sh : Logon-Script um Linux-Befehle auszuführen


    Es werden folgende Änderungen in der "smb.conf" vorgenommen:

    Code
    1. [global]ldap machine suffix = ou=hostsdomain logons = yeslogon script = login.cmddomain master = yes[Netlogon]comment = Network Logon Servicepath = /share/xxx_DATA/Netlogonpublic = yesguest ok = yesbrowseable = noread only = yesroot preexec = /share/xxx_DATA/Netlogon/login.sh %u %m %I %D %H


    Für die Roaming Profiles in der "smb.conf":










    deutsche Dokumentation: /viewtopic.php?f=80&t=22305 von af0815
    BETA-Status
    +V3.0.29
    - Fehler behoben, bei der keine Grundinitialisierung möglich war (Menüpunkt 1)
    +V3.0.30
    - Probleme beim Booten behoben
    +V3.0.31
    - Diverses
    +V3.0.32
    - Benutzerverwaltung aus dem Menü entfernt, dafür reicht das QNNAP-WebGUI
    - Problem mit der Netlogon-Freigabe gelöst
    - zusätzliche Log-Ausgaben aktiviert
    +V3.0.35
    -schwerer Bug behoben, bei der Deinstallation die Daten gelöscht werden
    -mit Firmware V3.7.1 funktionieren die Roaming Profiles wieder


    LDAP-Browser für Windows :
    http://www.ldapadmin.org/
    Putty SSH-Client für Windows:
    http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
    Quellen:
    http://www.samba.org/samba/doc…Collection/samba-pdc.html
    http://www.linux-praxis.de/linux3/samba7.html
    http://wiki.samba.org/index.ph…tialization_LDAP_Database
    http://www.linupedia.org/opensuse/Samba_und_OpenLDAP
    http://www.samba.org/samba/doc…lection/groupmapping.html
    http://support.microsoft.com/kb/243330
    http://download.gna.org/smblda…s/samba-ldap-howto/#htoc9
    http://home.rhein-zeitung.de/~wwilhelm/smbpdc.shtml

  • Na, noch keine Anmerkungen, Verbesserungsvorschläge oder Fehler entdeckt ?


    Oder kennt sich jemand mit JAVA und HTML aus, um die WebGUI zu erstellen ?


    Da ich gelesen habe, das in der nächsten Version 3.7 auch "user home folder" verfügbar sind,
    werde ich es nicht bei mir aktivieren bzw. wieder aus dem QPKG entfernen.

  • Habs zwar geladen, aber noch nicht Zeit gehabt zum Testen. Werd das im Urlaub mal angehen, wenn das Wetter so bleibt. :mrgreen:

  • Ich habe hier ein paar Beiträge gelöscht ....
    Bitte nicht wundern :D

    Einmal editiert, zuletzt von Eraser-EMC2- () aus folgendem Grund: Habe meine "Wutausbrüche" gelöscht ;-)

  • Habe das QPKG auf einem TS-412 installiert - läuft auf diesem super und ziemlich stabil. Außer die Netlogon Funktion musste ich noch anpassen. Desweiteren habe ich das Script auf einem 259 installiert - dort habe ich allerdings das Problem, dass der 259 nicht mehr neu bootet bzw. bestimmt ne Stunde zum hochfahren braucht. Kann mir hier jemand sagen wieso bzw. wie ich den Fehler finde??? so ist das Ding nicht brauchbar für mich. :-(

  • Das es so lange zum Hoch- und Herunterfahren benötigt, hast du erst seit diesem QPKG ?
    Dann werde mal schauen, was evtl. am Startscript falsch sein könnte.
    Dann solltest du erstmal die "smb_pdc.sh" umbenennen, diese wird beim Starten ausgeführt.


    Den Download habe ich erstmal entfernt, bis ich ein paar Anpassungen für die neue Firmware gemacht habe.

  • Zitat von "Eraser-EMC2-"

    Das es so lange zum Hoch- und Herunterfahren benötigt, hast du erst seit diesem QPKG ?
    Dann werde mal schauen, was evtl. am Startscript falsch sein könnte.
    Dann solltest du erstmal die "smb_pdc.sh" umbenennen, diese wird beim Starten ausgeführt.


    Den Download habe ich erstmal entfernt, bis ich ein paar Anpassungen für die neue Firmware gemacht habe.



    Muss es wohl etwas genauer formulieren. Nach dem installieren und ausführen der QPKG ist noch alles okay. Erst wenn ich Punkt 1, sprich den Primary Domain Controller aktiviert habe und das System danach hochfahren will, hängt sich der 259 beim booten total auf. Nach ziehen des Netzsteckers und langem warten, ist er dann irgendwann mal wieder bereit - zum Glück ;-)


    Aber Stefan das soll jetzt hier nicht nur Kritik sein. Ich finde es absolut Klasse, dass Du dir die Mühe gemacht hast ein Paket für "Dummys" :-D zu entwickeln. :thumb: Und die kleine Macken werden auch noch wegoptimiert :D

    Einmal editiert, zuletzt von abr67 ()

  • Zitat von "Eraser-EMC2-"

    Dann solltest du erstmal die "smb_pdc.sh" umbenennen, diese wird beim Starten ausgeführt.


    Habe ich getan, bringt auch nichts. Was bremst denn nur den NAS so aus...


    Ich habe noch ein anderes Phänomen festgestellt. Und zwar werden ja Freigaben erstellt aber frag nicht wie. (siehe Anhang) 8gb gross aber nix drin - komisch

  • Zitat von "abr67"

    Ich habe noch ein anderes Phänomen festgestellt. Und zwar werden ja Freigaben erstellt aber frag nicht wie. (siehe Anhang) 8gb gross aber nix drin - komisch


    Da muß wohl mal schauen, wo QNAP diese Daten abspeichert.
    Das Script erstellt die Freigaben direkt in der SAMBA-Konfigurationsdatei.


    Zitat von "abr67"

    Habe ich getan, bringt auch nichts. Was bremst denn nur den NAS so aus...


    OK,
    dann schau mal in der "/etc/config/smb.conf"
    und setze vor folgenden Zeile ein # ein:

    Code
    1. ldap passwd sync = yes
    2. ldap delete dn = yes
    3. ldapsam:editposix = yes


    Um muß mal schauen, ob diese notwendig sind.

  • ich schaue es mir nachher nochmal an, wobei ich gerade sehe, dass die 3.7 offiziell seit jetzt draußen ist. Vielleicht löst sich ja das Problemchen von ganz alleine.
    Gebe Dir noch Rückmeldung, ok.

  • Es scheint an den 3 Einstellungen von SAMBA gelegen haben,
    da mein NAS auch wieder schneller startet.
    Ich hatte den Grund an den SAMBA-Fix zugeschoben und nicht meinen Anpassungen.

  • Ich habe eine neue Version V3.0.28 hochgeladen.
    + Roaming Profile sollten nun funktionieren, getestet mit
    - Win2000-pro
    - WinXP-Pro
    - Win7-Ultimate-32bit


    Das NAS sollte nun wieder schnell hoch- und herunterfahren.
    ( mit dem Löschen der im anderen beitrag genannten Einträge in der smb.conf ,
    diese Einträge sollten mit der Installation dieser Version gelöscht werden )


    EDIT:
    Ich könnte mir nach Durchsicht der neuen Firmware V3.7.0 vorstellen,
    dass damit auch schon ein SAMBA-PDC erstellt werden kann.
    Jedoch bin ich mir nicht sicher,
    ob es durch das Fehlen der "Netlogon"-Freigabe und der Domänengruppen "Domain Admins", "Domain Guests" und
    nur dem Linux-Admin "admin" funktionieren kann.

  • Ich mußte das QPKG noch einmal auf die Version V3.0.29 updaten,
    da ich einen kleinen Fehler gemacht habe, der keine Möglichkeit für die Grundkonfiguration des PDCs bot.


    EDIT:
    Irgendwie habe ich ebenso wieder das Problem, das das NAS langsam neustartet.
    Die SAMBA-Einträge waren es wohl doch nicht gewesen.
    Da werde ich mich nochmal auf die Suche begeben. :-(

    Einmal editiert, zuletzt von Eraser-EMC2- () aus folgendem Grund: Sehr langsamer Neustart des NAS

  • Sag mal Stefan, in der 3.7er Firmware ist ja nun offiziell die Windows-ACL-Unterstützung und der Homeordner mit in die Oberfläche implementiert. Sollte ich diese Funktionen lieber in der Oberfläche aktivieren oder lieber das ganze über smb_cmd des Skriptes machen???


    Was seit der 3.7er Version auch nicht geht oder ich weiß nicht wie wenn ich den LDAP Server aktiviere und dort meine Domain eintrage, zB. xxxxxxxx.com dann macht er mir grundsätzlich die Arbeitgruppe auch so XXXXXXX. dies läßt sich nicht mal ändern, selbst nicht manuell per smb.conf


    Außerdem habe ich meinen Laptop nach dem Neuaufsetzen wieder von der alten DOmain getrennt und bekomme ihn nicht wieder dran.


    Kann man dein Paket über das vorhandene installieren oder muss man es erst deinstallieren

  • Zitat von "abr67"

    Sollte ich diese Funktionen lieber in der Oberfläche aktivieren oder lieber das ganze über smb_cmd des Skriptes machen???


    Nutze lieber die Home-Ordner der Firmware, da meine Version nicht mehr mit der V3.7.0 funktionierte.
    Daher habe ich diese Funktion abhängig von der Firmware gemacht.


    Zitat von "abr67"

    Was seit der 3.7er Version auch nicht geht oder ich weiß nicht wie wenn ich den LDAP Server aktiviere und dort meine Domain eintrage, zB. xxxxxxxx.com dann macht er mir grundsätzlich die Arbeitgruppe auch so XXXXXXX. dies läßt sich nicht mal ändern, selbst nicht manuell per smb.conf


    Dies macht aus meiner Sicht auch keinen Sinn.
    Im meinem Script bin ich auch davon ausgegangen, das die Workgroup bzw. SAMBA-Domain gleich der DNS-Domain ist.
    Dies ist auch bei der Windows-AD-Domäne der Fall.


    Zitat von "abr67"

    Außerdem habe ich meinen Laptop nach dem Neuaufsetzen wieder von der alten DOmain getrennt und bekomme ihn nicht wieder dran.


    Sollte eigentlich funktionieren. Kann aber gerade keine Lösungsmöglichkeiten nennen.


    Zitat von "abr67"

    Kann man dein Paket über das vorhandene installieren oder muss man es erst deinstallieren


    Das Drüberinstallieren sollte funktionieren. Diesen Fall müßte ich auch noch testen bzw. vorsehen.

  • Zum Thema Domainname: Also ich kenne es eigentlich so, dass der vollqualifizierte DomainName des Server so auszusehen hat
    >>> servername.INTERNERDOMAINNAME.EXTERNERDOMAINNAME.COM


    Wenn ich aber bei LDAP Server den EXTERNERDOMAINNAME.COM hinschreibe, wird mein interner gleich EXTERNERDOMAINNAME - das ist aber blöd so :-( ich will nicht das die interne domain so heißt wie meine externe :D


    aber nun gut wenn das nur alles wäre ^^


    Ich habe die Samba PDC Anbindung so gemacht - ist das so richtig???


    1. Zugriffskontrolle -> Benutzer -> Startseiteordner (HOME) aktiviert
    2. Zugriffskontrolle -> Freigabeordner -> Erweiterte Optionen -> Erweiterte Zugriffsrechte sowie ACL Unterstützung aktiviert
    3. Anwendungen -> LDAP-Server aktiviert mit externem Domain Namen
    4. Zugriffskontrolle ->Domain Sicherheit -> LDAP Auth lokal aktiviert (nur LDAP Benutzer)
    5. Dein Paket installiert und gestartet
    6. smb_cmd.sh skript über putty gestartet
    nach Anweisung die offenen Punkte aktiviert?! Also eigentlich nur noch Profile! Ist das so richtig?
    NETLOGON wird nicht angelegt, da ja der PDC schon von der Qnap NAS GUI aktiviert wurde


    Hochfahren des NAS geht deutlich schneller.

  • Zitat von "abr67"

    Wo hast DU sie versteckt???


    Mußte ich entfernen, da mein NAS kaum noch starten wollte.
    Er hatte ist irgendwo hängen geblieben.
    Selbst ein angeschlossener Monitor konnte mir auch keinen Aufschluß geben,
    nur es irgendwie mit SAMBA und dem LDAP-Server zusammenhing.


    Das Problem habe ich inzwischen identifiziert
    und werde wahrscheinlich heute abend die neue Version hochladen.


    Zitat von "abr67"

    Zum Thema Domainname: Also ich kenne es eigentlich so, dass der vollqualifizierte DomainName des Server so auszusehen hat
    >>> servername.INTERNERDOMAINNAME.EXTERNERDOMAINNAME.COM


    Ich verwende nur einen internen Namen nach dem Muster
    servername.meinNachname.local
    und die SAMBA-Domäne habe ich auch meinem Nachnamen gegeben.


    Zitat von "abr67"

    nach Anweisung die offenen Punkte aktiviert?! Also eigentlich nur noch Profile! Ist das so richtig?


    Ja, wenn du auch die Roaming Profile verwenden möchtest, ist aber nur eine Option.
    Zum Testen wäre es für mich hilfreich.


    Zitat von "abr67"

    NETLOGON wird nicht angelegt, da ja der PDC schon von der Qnap NAS GUI aktiviert wurde


    Das war leider eine Version, wo eine Überprüfung falsch funktioniert
    und daher der PDC-Server nicht komplett eingerichtet wird.
    Fälschlicherweise "denkt" das Script, es wäre schon ein SAMBA-PDC erstellt.